Amazon Route 53, ogranicz dostęp użytkownika IAM do zestawu pojedynczych rekordów

15

Chciałbym programowo zmienić CNAME zestawu rekordów w strefie hostowanej na Amazon Route 53, ale chciałbym ograniczyć dostęp użytkownika TYLKO do tego zestawu rekordów. Dla tego, co widziałem w dokumentacji, IAM zezwala na określenie operacji tylko na podstawie „strefy hostowanej” lub „zmian”. Oznacza to, że mój użytkownik musi mieć kontrolę nad WSZYSTKIMI zestawem rekordów, aby zmienić jeden.

Konsekwencje błędu w kodzie w takim przypadku są bardziej niż katastrofalne. Jeśli z jakiejkolwiek przyczyny sprawdzenie nazwy hostowanej strefy jest nieprawidłowe, mogę z powodu błędu zastosować zmiany do więcej niż jednego zestawu rekordów (wyobraź sobie, że wiele zestawów rekordów wskazuje teraz na to samo urządzenie / infrastrukturę).

Moje pytanie nie dotyczy nie popełniania błędów w kodzie, ale stworzenie użytkownika w celu ochrony systemu przed takimi możliwościami. Istnieje sposób ograniczenia dostępu (lub obejścia), aby umożliwić nowemu użytkownikowi usługi IAM dostęp tylko do jednego / ograniczonego zestawu Stref hostowanych.

Na poziomie IAM, nie programowo.

Dziękuję Ci.

Fabrizio S.
źródło

Odpowiedzi:

13

Jednym ze sposobów, w jaki możesz to zrobić, jest utworzenie nowej strefy, która jest poddomeną domeny głównej, jak np stuff.example.com. Przeniesienie NS subdomeny do tej strefy dodatkowej. Nadaj im uprawnienia IAM do strefy tej subdomeny, aby mogli tworzyć takie subdomeny my.stuff.example.com. W przypadku rekordów, które chcesz być pierwszorzędnymi obywatelami, możesz to CNAME my.example.comzrobić my.stuff.example.com, co pozwoliłoby im funkcjonalnie zarządzać tą subdomeną bez posiadania pełnych uprawnień.

ceejayoz
źródło
2
Tak, zgadzam się, że prawdopodobnie jest to opłacalne. Jest to dobre obejście, gdy czekam na bardziej szczegółowe uprawnienia.
Fabrizio S
5

Miałem okazję zadać to pytanie kilku architektom rozwiązań aws na ostatniej konferencji amazon aws i potwierdzili, że nie jest to możliwe. IAM lub lepsza Route53 nie ma tego poziomu szczegółowości.

Fabrizio S.
źródło
1
Obecnie planowane są udoskonalenia tej funkcji. To jest ostatnia oficjalna odpowiedź od Amazon:> Dziękujemy za wzmiankę o tym, podnieśliśmy to z naszymi> zespołami programistycznymi do rozważenia w przyszłości. >> Jeśli masz inne sugestie, daj nam znać. >> Pozdrawiam, Davin G. Sugeruję, abyś głosował na podobny temat pod adresem: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos
5

Możesz utworzyć funkcję AWS Lambda, która wprowadzi tę zmianę (tylko dla tego pojedynczego rekordu) i utworzy zasady wywoływania dla tej funkcji.

Dmytro
źródło